Как создать самозаверяющий подстановочный SSL-сертификат для IIS 6?
-
19-08-2019 - |
Вопрос
Я пытаюсь создать самозаверяющий подстановочный SSL-сертификат для использования на ряде серверов разработки и тестирования под управлением IIS 6.Следуя различным руководствам, я разработал пару способов создания сертификатов, но мне не повезло заставить это работать.Наиболее успешными способами, которые у меня были, были следующие это руководство по OpenSSL и используя makecert.exe вот так:
makecert.exe -r -b 01/01/2009 -e 01/01/2042 -sr LocalMachine -ss MY -a sha1 -n CN="*.example.com" -sky exchange -pe -eku 1.3.6.1.5.5.7.3.1 -sy 12 -sp "Microsoft RSA SChannel Cryptographic Provider" wildcard.cer
Оба из которых генерируют сертификаты, которые будет принимать IIS 6, но когда я на самом деле пытаюсь просмотреть сайт, я получаю следующую ошибку в Firefox:
Прерванная передача данных
Соединение с dev.example.com было прервано во время загрузки страницы.
IE просто дает:
Internet Explorer не может отобразить веб-страницу
Наиболее вероятные причины:
- Вы не подключены к Интернету.
- Веб-сайт сталкивается с проблемами.
- В адресе может быть опечатка.
Эта ошибка возникает независимо от того, пытаюсь ли я получить к нему доступ по имени домена, имени компьютера, localhost, локальному ip или IP-адресу обратной связи.
Итак ... как я могу создать самозаверяющий сертификат с подстановочным знаком, с которым будет работать IIS 6?Или как я могу исправить проблемы, с которыми я сталкиваюсь, с теми, которые я уже создал?
Решение
Вы можете использовать набор ресурсов IIS 6, предоставляемый MS, приложение командной строки под названием SelfSSL.Он может сгенерировать SSL-ключ и импортировать его в вашу установку IIS.
Другие советы
вы можете создать подстановочный сертификат с использованием *.domain.local и нескольких протоколов ssl, используя c:\inetpub\adminscripts adsutil.vbs устанавливает w3svc[siteid]\SecureBindings ":443:name.domain.local".
Понимаете ли вы, что вам нужно будет изменить "example.com" на что-то более подходящее для вашей ситуации ("localhost" может быть одним из них во время тестирования).
Для IIS 7 - для этого есть wzard.Настройка занимает около 30 секунд.
Для IIS 6 - это немного сложнее.Настройка занимает около 30 минут.
Какой из них вы используете?
Я настоятельно рекомендую перейти на IIS 7 - поначалу это очень непривычно, но они внесли много улучшений.
Учитывая, что вы, вероятно, не сможете обновиться до IIS 7, мне пришлось сделать следующее, чтобы реализовать то, что вы хотите, в IIS 6.
1) создать сервер сертификатов 2) сгенерировать запрос 3) предоставить запрос 4) установить сертификат
Настройка сервера центра сертификации сопряжена с определенными трудностями, но он поставляется с Windows Server, и пошаговое руководство довольно простое.
Мы обнаружили, что Центру сертификации не доверяли из-за настроек домена, что и вызывало ошибки.В итоге мы внедрили сертификат star, сгенерированный доверенным центром сертификации, и это устранило проблемы.